內政部消防署今(4)日,公開徵求廠商提供「救災雲賡續計畫-107年基礎服務平臺營運管理案」參考資料。
該計畫已公告需求計畫書(RFP)草案,詳述資料中心、備援中心及機房等現況及專案需求,並徵求廠商提供參考意見與報價。救災雲計畫在101年底招標的基礎服務平台建置暨營運案,預算高達1億8千萬元,其賡續案尚待廠商提供建議,實際金額以招標公告為準。
賡續計畫資安防護規劃細膩
資訊安全部分,消防署將要求得標商落實資安防禦佈署、骨幹網路安全服務、虛擬服務資訊安全等。並有一些細膩的規劃,例如,得標商需與行政院資通安全會報技術服務中心充分合作,以阻擋特定網路位址與名稱、特定連線,以及資安查核工作等。
在「骨幹網路安全服務」方面,除一般應有的資安作為外,需以手動或自動方式保持入侵防護系統地攻擊特徵碼為最新版本,並依照攻擊趨勢隨時調整防護政策,且入侵防護系統得根據網路情況、攻擊類型進行自動化判斷,並進行阻擋。
消防署也將督責得標商每半年進行滲透測試(含複測)、每月進行弱點掃瞄,針對進駐的應用程式,進行安全性檢測作業,並即時進行安全性修正檔(包括各設備和軟體之修補程式)及病毒碼更新。
行政院資安稽核團隊日前到消防署執行稽核時,提出「VM主機並無安裝防毒軟體」,經消防署查察,所使用為趨勢防毒Deep Security(angentless式),其特性為安裝於底層HOST主機,即可防衛建置其上的VM,然而行政院稽核團隊認為此種防護方式,有心人士可以繞過、直接攻擊主機,因此廠商應更換主機防毒軟體廠牌。
從行政院資安稽核團隊執行稽查的仔細程度,可見政府深化資安防護所作的努力。
Comments